WannaCry anda suelto, aprenda a defenderse

Con el nuevo WannaCry, que bloquea todos los archivos de un ordenador hasta que el propietario pague un rescate, nos encontramos ante un desastre viral que parece haber puesto en peligro a secciones enteras de infraestructuras críticas.

El daño se está extendiendo por todo el mundo y afectando a organismos como hospitales, por lo que, si algún paciente llega a morir por esto, quizá por vez primera, tengamos que enfrentarnos a un caso de homicidio por malware, lo que sin duda, supondrá un antes y un después para la seguridad y el compliance.

Este malware está usando MS17-010, a.k.a. "EternalBlue" (un exploit liberado por la NSA) para introducirse en la red de cualquier persona que no haya parcheado esta “vieja” vulnerabilidad. El exploit afecta al protocolo de compartición de archivos SMB (Server Message Block), que a menudo aparece abierto dentro las redes, facilitando, por tanto, la rápida propagación del ataque.

Tal como vivimos anteriormente con los ransomwares Cerberus y Apache Struts, los ciberdelincuentes no pierden tiempo actualizando las cabezas de los proyectiles de sus malwares. Cuando se abre un nuevo flanco, vuelven a aparecer las mismas amenazas de siempre, aunque con un envoltorio diferente, consiguiendo, una vez más, engañarnos e introducirse en nuestras redes.

WannaCry penetra en las redes de muchas formas diferentes. La más peligrosa es a través de Microsoft SMB (Server Message Block). Los expertos en seguridad informan que un dispositivo con SMBs en Internet sin protección puede ser atacado en menos de tres minutos. Sin embargo, WannaCry también utiliza métodos tradicionales de propagación de malware, a través de archivos adjuntos en correos y acciones de phishing.

La forma más frecuente del ransomware WannaCry llega, sin embargo, como un cargador con una DLL AES cifrada, que escribe un archivo llamado "t.wry". Este archivo es descifrado por una clave de malware de 128 bits embebida, que es lo que cifra los archivos del disco de la víctima. Mediante el uso de un método de carga cifrada, el malware nunca es escrito directamente en el disco en forma no cifrada y permanece invisible para los antivirus tradicionales.

Al cifrar los archivos de la víctima, también escanea todos los IPC$ y SMBs visibles. Utiliza la vulnerabilidad Microsoft MS17-010 SMB para obtener acceso y para infectar estos sistemas. Es este comportamiento el que ha permitido a WannaCry poner en jaque rápidamente redes enteras en cuestión de minutos.

La variante primaria de WannaCry usó un dominio no registrado para controlar la distribución, a.k.a. "the kill switch". Un experto en seguridad llamado MalwareTech, registró y hundió el dominio, logrando detener esta versión de WannaCry. Sin embargo, ya se han liberado otras variantes del malware, por lo que el peligro sigue siendo real.

Consejos para defenderse

- Bloquear el acceso de SMB a Internet, ejecutándolo a través de los puertos TCP 137, 139, 445 y puertos UDP 137, 138.

- Aplicar el parche de Microsoft para la vulnerabilidad MS17-010 SMB con fecha 14 de marzo de 2017.

- Filtrar y supervisar el correo electrónico para evitar ataques de phishing, observando los archivos adjuntos ejecutables y habilitados para macros.

- Dotar a los usuarios con los menores privilegios que sea posible, permitiéndoles solo el acceso a los recursos que necesitan para realizar sus trabajos, a fin de contener el daño que pueda causar una cuenta de usuario comprometida.

- Reducir y restringir los privilegios administrativos. Segregar las cuentas de los administradores del sistema de las cuentas de usuario que utilizan para leer correos y navegar por la web. Restringir el acceso a puertos TCP, como los 22, 23 y 3389.

- Configurar controles internos de acceso para contener el contagio dentro de las redes. Bloquear o restringir SMB (puertos TCP 137, 139, 445 y puertos UDP 137, 138).

- Enviar boletines internos a los usuarios con respecto a este brote, advirtiéndoles de las medidas de precaución con respecto a archivos adjuntos, además de evitar el uso de dispositivos externos en la red corporativa.

- Realizar copias de seguridad periódicamente.

Ray Pompon. Principal Threat Research Evangelist, F5 Networks